Les nouveaux conseils de la CNIL pour créer des mots de e sécurisés

Face à un risque accru de piratage, la CNIL a revu ses recommandations quant aux bonnes pratiques à adopter sur Internet. Voici les nouvelles règles à suivre pour créer un sésame fiable et éviter d'être piraté.

Chaque jour, des milliards d'informations personnelles sont partagées sur des forums du mot de e long, complexe, sans aucun sens, impersonnel et unique – avaient été appliquées. C'est donc "dans un contexte de multiplication des compromissions de bases de mots de e" que la CNIL vient de publier le 17 octobre 2022 de nouvelles directives – les dernières datent de 2017 – sur la sécurisation des mots de e. Si ces recommandations sont surtout destinées aux entreprises et aux professionnels – qui sont de plus en plus victimes de cyberattaques ou de fuites de données –, elles sont aussi valables pour les particuliers. Mieux vaut donc s'en inspirer pour créer des mots de e fiables, sécurisés et difficiles à pirater.

Mot de e : un moyen d'authentification faillible

L'authentification par un mot de e n'est pas un moyen infaillible pour sécuriser son compte, loin de là. De nombreux facteurs de risque sont à prendre en compte. Par exemple, un mot de e peut être trop simple – l'utilisateur a tendance à en choisir un qu'il peut retenir facilement (voir notre phishing ou de fausses pages d'authentification. Il faut également craindre pour la sécurité de son compte lorsque le mot de e est conservé en clair ou quand les modalités pour son renouvellement en cas d'oubli sont trop faibles – c'est notamment le cas pour les questions "secrètes", comme "quel est le nom de votre premier animal de compagnie ?" La CNIL recommande d'ailleurs de ne plus utiliser cette méthode pour sécuriser un mot de e.

CNIL : les recommandations pour sécuriser ses mots de e

Par rapport à 2017, les consignes de la CNIL ont évolué. Tout d'abord, le niveau de sécurité d'un mot de e ne se fonde plus sur sa longueur minimale, mais sur son niveau d'entropie lors de sa création. "L'entropie peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de e ou une clé cryptographique, cela correspond à son degré d'imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute" explique l'organisme. Ainsi, un mot de e composé d'au minimum 12 caractères, comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux, a le même niveau d'entropie qu'une phrase de e composée d'au minimum 7 mots. Des mesures complémentaires peuvent être mises en place par les sites et plateformes pour garantir la sécurité de leurs utilisateurs. Par exemple, ils peuvent imposer un mot de e respectant certains critères de complexité : obligation de longueur, de majuscules, de minuscules, de chiffres et de caractères spéciaux. Ils peuvent aussi mettre en place une restriction d'accès, comme la temporisation d'accès au compte après plusieurs échecs, l'utilisation d'un Captcha, la définition d'un nombre maximal de tentatives autorisées dans un délai donné, ou encore le blocage du compte après un certain nombre d'échecs. Enfin, ils peuvent imposer à l'utilisateur de posséder un matériel sur lui, comme son smartphone ou sa carte bancaire.

La CNIL préconise désormais d'arrêter le renouvellement périodique des mots de e, car "les stratégies utilisées par les utilisateurs pour s'adapter aux politiques d'expiration de mots de e sont généralement prévisibles et abaissent le niveau de sécurité effectif." Généralement, l'utilisateur choisit une version modifiée du précédent mot de e, en ajoutant un chiffre à la fin par exemple. Au final, les bénéfices en termes de sécurité sont mineurs, et l'utilisateur est embêté par ce changement. Enfin, la CNIL rappelle que, sous aucun prétexte, les mots de e ne doivent être stockés en clair. "Lorsque l'authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de e doit être transformé au moyen d'une fonction cryptographique non réversible et sûre, intégrant l'utilisation d'un sel ou d'une clé", explique-t-elle, citant les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de e. Pour renforcer la sécurité de son compte, il est recommandé d'activer l'authentification à plusieurs facteurs ou l'authentification forte, ou d'avoir recours à un gestionnaire de mots de e. Les keys sont également une excellente alternative, même s'ils comportent aussi des limites.